CERTA-2009-AVI-031
Vulnerability from certfr_avis

Une vulnérabilité est présente dans la série M des serveurs Sun SPARC Enterprise. Elle permet à un utilisateur distant de contourner la politique de sécurité du système.

Description

Une vulnérabilité de nature non précisée par Sun est présente dans les serveurs Sun SPARC Enterprise de la série M. Cette faille est relative à une erreur de paramétrage dans la XSCFU (eXtended System Control Facility Unit) qui permet à un utilisateur distant malintentionné de s'y connecter en tant qu'administrateur (root). Cette vulnérabilité ne concerne que les serveurs ayant un numéro de série correspondant à des dates de sorties comprises entre la 38ème et la 49ème semaine de l'année 2008.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention du correctif et des détails sur les numéros de séries concernés (cf. section Documentation).

None
Impacted products
Vendor Product Description
N/A N/A Sun SPARC Enterprise M4000 Server ;
N/A N/A Sun SPARC Enterprise M5000 Server.
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Sun SPARC Enterprise M4000 Server ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Sun SPARC Enterprise M5000 Server.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 de nature non pr\u00e9cis\u00e9e par Sun est pr\u00e9sente dans les\nserveurs Sun SPARC Enterprise de la s\u00e9rie M. Cette faille est relative \u00e0\nune erreur de param\u00e9trage dans la XSCFU (eXtended System Control\nFacility Unit) qui permet \u00e0 un utilisateur distant malintentionn\u00e9 de s\u0027y\nconnecter en tant qu\u0027administrateur (root). Cette vuln\u00e9rabilit\u00e9 ne\nconcerne que les serveurs ayant un num\u00e9ro de s\u00e9rie correspondant \u00e0 des\ndates de sorties comprises entre la 38\u00e8me et la 49\u00e8me semaine de l\u0027ann\u00e9e\n2008.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention du\ncorrectif et des d\u00e9tails sur les num\u00e9ros de s\u00e9ries concern\u00e9s (cf.\nsection Documentation).\n",
  "cves": [
    {
      "name": "CVE-2009-0171",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-0171"
    }
  ],
  "initial_release_date": "2009-01-23T00:00:00",
  "last_revision_date": "2009-01-23T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Sun Solaris #249126 du 19 janvier 2009    :",
      "url": "http://sunsolve.sun.com/search/document.do?assetkey=1-26-249126-1"
    }
  ],
  "reference": "CERTA-2009-AVI-031",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2009-01-23T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans la s\u00e9rie M des serveurs Sun SPARC\nEnterprise. Elle permet \u00e0 un utilisateur distant de contourner la\npolitique de s\u00e9curit\u00e9 du syst\u00e8me.\n",
  "title": "Vuln\u00e9rabilit\u00e9 des Serveurs Sun Serie M",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 #249126 du 19 janvier 2009",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.